EFS恢复代理初探.pdfVIP

EFS恢复代理初探 2010年3月19日 1:25 Windows 2000时代，Administrator用户默认是EFS的恢复代理。到了Windows XP，工作组模式下默认是没有恢复代理的，恢复代理需要我们自己去设 置。下面是步骤： 1.要做恢复代理，需生成administrator的恢复代理证书和密钥。我这里就不切换到administrator用户了，我指定我当前用户smile为恢复代理。 开始，运行，cmd。使用cipher.exe命令生成证书。我们将密钥和证书生成到C盘的根目录下。 C:\Documents and Settings\Smilecipher.exe /r:c:\ 请键入密码来保护 .PFX 文件: 请重新键入密码来进行确认: .CER 文件已成功创建。 .PFX 文件已成功创建。 C:\Documents and Settings\Smile 2.设置组策略，指定smile为恢复代理。 a. b.在弹出的向导中选择下一步，点击浏览，选择我们刚生成的证书 c.点击下一步，完成。 3.加密一个文件。 切换到另一个用户，选择一个文件，右键，属性，高级，加密文件。 分区硬件知识 的第1 页 加密后再次查看该文件属性，可以看到smile已经是该文件的恢复代理了。 4.切换回smile，去掉刚才被加密的文件的加密复选框，确定，发现拒绝访问！无法解密。 5.何解呢？经查阅，我们需要把我们第一步生成的证书安装到系统中。选择我们导出的证书，右键，安装。根据向导安装证书。 6.再次解密刚才加密的文件，确发现依然拒绝！我们导入了证书为什么不行呢？！难道微软的EFS有BUG？！网上也很少关于恢复代理如何解密文件。经过一番摸 索后，终于发现，我们在生成EFS恢复代理证书时候，一共生成了两个文件，除了证书以外，还有一个PFX文件。我们在安装证书时，应通过我们导出来的PFX文 件导入证书，PFX包含了我们的私钥和个人信息！右键选择PFX文件，选择安装PFX。根据向导，安装我们的证书。图就不截了。解密被加密的文件，成功！ 分区硬件知识 的第2 页 这是笔者从现象来探讨这个问题，但是没有看到本质，还需进一步研究。另在活动目录下，EFS的恢复代理默认是domain administrator，还要进一步研究，下 次继续发。 EFS实际上是这样的，计算机用是利用DES算法对文件进行加密，然后再用用户的证书里的公钥对DES的密钥加密后生成一个解密块附加在文件后面，如果有恢复代理，系统就再用回 恢复理的公钥生成一个解密块再附在后面。当用户证书不止一个的时候，系统会为每个证书生成一个解密块。 解密的时候，系统使用用户证书里的对应的私钥对解密块解密，解密出DES密钥后再利用DES密钥对文件进行解密。 公钥和私钥就是俗称的不对称加密方式，是从以前的对称加密（使用用户名与密码）方式的提高。用电子邮件的方式说明一下原理。 使用公钥与私钥的目的就是实现安全的电子邮件，必须实现如下目的： 1.我发送给你的内容必须加密，在邮件的传输过程中不能被别人看到。 2.必须保证是我发送的邮件，不是别人冒充我的。 要达到这样的目标必须发送邮件的两人都有公钥和私钥。 公钥，就是给大家用的，你可以通过电子邮件发布，可以通过网站让别人下载，公钥其实是用来加密/验章用的。私钥，就是自己的，必须非常小心保存，最好加上 密码，私钥是用来解密/签章，首先就Key 的所有权来说，私钥只有个人拥有。公钥与私钥的作用是：用公钥加密的内容只能用私钥解密，用私钥加密的内容只能用 公钥解密。 比如说，我要给你发送一个加密的邮件。首先，我必须拥有你的公钥，你也必须拥有我的公钥。 首先，我用你的公钥给这个邮件加密，这样就保证这个邮件不被别人看到，而且保证这个邮件在传送过程中没有被修改。你收到邮件后，用你的私钥就可以解密， 就能看到内容。 其次我用我的私钥给这个邮件加密，发送到你手里后，你可以用我的公钥解密。因为私钥只有我手里有，这样就保证了这个邮件是我发送的。 当A-B资料时，A会使用B的公钥加密，这样才能确保只有B能解开，否则普罗大众都能解开加密的讯息，就是去了资料的必威体育官网网址性。验证方面则是使用签验章的机 制，A传资料给大家时，会以自己的私钥做签章，如此所有收到讯息的人都可以用A 的公钥进行验章，便可确认讯息是由A发出来的了。 分区硬